Nokia 8 Sirocco-puhelimista korjattu WPA/WPA2 Enterprise-verkoissa esiintyvä haavoittuvuus | Traficom
Siirry pääsisältöön
Kyberturvallisuuskeskus
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta

Nokia 8 Sirocco-puhelimista korjattu WPA/WPA2 Enterprise-verkoissa esiintyvä haavoittuvuus

11. elokuuta 2021 klo 13.49, päivitetty 12. elokuuta 2021 klo 9.35

Haavoittuvuus koskee puhelimen tunnistautumista langattomaan verkkoon yritysympäristössä. Tietyillä asetuksilla puhelin välittää RADIUS-tunnistautumispalvelimelle käyttäjän kirjautumistiedot selkokielisessä muodossa. Haavoittuvuudelle on julkaistu korjaus, jonka käyttäjät voivat asentaa puhelimiinsa.

Haavoittuvuus koskee MSCHAPv2-tunnistautumista RADIUS-palvelimelle käytettäessä PEAP-protokollaa WPA/WPA Enterprise Wi-Fi-verkoissa.

Vaikka laite on konfiguroitu käyttämään MSCHAPv2-haaste-vaste-protokollaa, haavoittuva laite ei käytä tätä, vaan yrittää kirjautua RADIUS-palvelimelle käyttäen salaamatonta EAP-GTC-protokollaa. Jos RADIUS-palvelin on konfiguroitu hyväksymään tämä, laite välittää käyttäjän kirjautumistiedot selkokielisenä RADIUS-palvelimelle. Haavoittuvuus koskee pääasiassa WPA/WPA2 Enterprise -yritys- ja yhteisöverkkoja, joita on käytössä yritysten lisäksi myös yliopistoissa. Tästä syystä verkkojen ylläpitäjien on syytä tarkistaa palvelinten konfiguraatiot ja muistuttaa verkon käyttäjiä päivityksistä.

Vuonna 2018 julkaistu Nokia 8 Sirocco sai viimeisen virallisen päivityksensä 21.6.2021, mutta Nokia-puhelimia valmistava HMD Global päätti korjata vielä tämän haavoittuvuuden ja korjauspaketti tuli saataville puhelimiin 13.7.2021.

Kyberturvallisuuskeskus välitti haavoittuvuuden tiedoksi HMD Globalille ja haluamme kiittää vielä erikseen haavoittuvuuden löytäjää (Karri Huhtanen).

Haavoittuvuuden kohde

Nokia 8 Sirocco -puhelimet

Mistä on kysymys?

Asenna 13.7. julkaistu tietoturvapäivitys 00WW_5_14M puhelimesi päivitysvalikosta.

 

Linkki Nokia-puhelinten tietoturvapäivityssivulle (ulkoinen linkki)

Matkaviestinjärjestelmät

Matkaviestinjärjestelmiin luokitellaan kannettavien päätelaitteiden, kuten puhelinten ja dataliikennekorttien lisäksi matkapuhelinverkon laitteet.

Ilman käyttäjän toimia

Ilman käyttäjän toimia tapahtuva hyökkäys kohdistuu suoraan haavoittuvuuteen ilman että järjestelmän käyttäjältä vaaditaan mitään toimia hyökkäyksen onnistumiseksi. Käyttäjän ei esimerkiksi tarvitse selailla www-sivuja tai käynnistää ohjelmaa tietokoneessa, vaan hyökkäys onnistuu ilman käyttäjän apua.

Suojauksen ohittaminen

Suojauksen ohittamisella tarkoitetaan sitä, että haavoittuvuutta hyväksikäyttämällä ohitetaan järjestelmän käytön rajoittamiseksi tehty suojaus esimerkiksi liikennöimällä palomuurin ohi suojattuun verkkoon.

Luottamuksellisen tiedon hankkiminen

Luottamuksellisten tietojen hankkiminen kohdejärjestelmästä edellyttää sitä, että sen tietosisältöä, esimerkiksi kiintolevylle talletettuja tiedostoja, pääsee lukemaan luvatta ja välittämään edelleen.

Ei julkaistu

Haavoittuvuuden käyttöaste ei ole tiedossa.

Korjaava ohjelmistopäivitys

Ohjelmisto- tai laitevalmistaja julkaisee tavallisesti pian uuden version tai osittaisen päivityksen ohjelmistoon tai käyttöjärjestelmään sen jälkeen kun haavoittuvuus on tullut julki. Päivitys voi olla saatavilla samalla kun haavoittuvuuskin julkaistaan, mutta usein sitä joudutaan odottelemaan jonkin aikaa.

Ongelman rajoittaminen

Vaikka varsinaista korjausta haavoittuvuuteen ei aina ole saatavilla, sen vaikutuksia voidaan useimmiten rajoittaa esimerkiksi pidättäytymällä tilapäisesti jonkin ominaisuuden käytöstä tai rajoittamalla verkkoliikennettä kohdejärjestelmään sopivasti.

11. elokuuta 2021 klo 17.23 Korjattu haavoittuvuustieto.